lunes, 3 de octubre de 2016

Forcepoint Security Labs: Distribuidor de Locky usa nuevo programa de descarga Quant Loader en los foros clandestinos rusos

Los investigadores de Forcepoint descubrieron un nuevo programa de descarga intermedio denominado “Quant Loader”, el cual se utiliza para distribuir el crypto-ransomware Locky Zepto y las familias de malware Pony (conocidas también como Fareit). Este nuevo programa de descarga utiliza un troyano, el cual se liberó hace sólo un par de semanas, y que se está promoviendo ampliamente en los foros clandestinos rusos.

Los correos electrónicos se hacen pasar por una notificación de facturas que contiene un archivo adjunto malicioso Windows Script File (WSF). Cuando este archivo se ejecuta, se realiza una descarga cifrada que a continuación se descifra y se ejecuta.

https://i.imgur.com/VdorA61.png


A decir de Carl Leonard, analista de seguridad principal de Forcepoint: “A primera vista, la carga era desconocida y se había agregado una etapa adicional a la cadena de infección. Mediante un análisis exhaustivo, hemos identificado a este programa de descarga intermedio como ‘Quant Loader’, y logramos averiguar que fue creado por ‘MrRaix’, o ‘DamRaiX’ como también le llaman, quien es miembro de la banda criminal ‘C++ GURU’, o ‘CPPGURU’.” 

Una investigación más a fondo reveló que la base del código es bastante similar a otras herramientas que este grupo ha creado, un programa diseñado para robar credenciales, otro programa para robar billeteras de BitCoin, y un sistema DDoS llamado Madness DDoS System. De hecho, parece que Quant Loader es en realidad un programa de descarga de troyanos muy básico y no el “exe loader/ dll dropper profesional” como se pensaba.

https://i.imgur.com/m4hptOv.png

Los clientes de Forcepoint están protegidos gracias a TRITON ACE. Forcepoint cree que esta campaña pudo haber sido una prueba para evaluar la efectividad del nuevo programa de descarga intermedio, y se prevé que el malware se mejore en el futuro, por lo que se le pide a la gente estar alerta.

Si desea consultar más información, lea el siguiente blog de Forcepoint: 
https://blogs.forcepoint.com/security-labs/locky-distributor-uses-newly-released-quant-loader-sold-russian-underground

No hay comentarios.:

Publicar un comentario